Le nouveau cadre pour la protection des données personnelles entre la Suisse et les Etats-Unis a été approuvé par le Conseil Fédéral le 14 août dernier.
Celui-ci garantit la sécurité des échanges de données personnelles entre la Suisse et les entreprises certifiées aux États-Unis.
On le sait, la nouvelle LPD pose des conditions assez strictes lorsque l’on veut transférer des données personnelles à l’étranger. En particulier, les Etats-Unis ne sont pas considérés par le Conseil Fédéral comme étant un État garantissant un niveau de protection suffisant pour le traitement des données personnelles.
Or, ce nouveau DPF permettra dès le 15 septembre prochain de transférer des données personnelles de la Suisse vers une entreprise sise aux US et ayant adhéré au DPF sans garanties supplémentaires.
Attention ! Le DPF s’applique uniquement aux entreprises qui se sont autocertifiées et que vous trouverez dans le site officiel ci-après : https://www.dataprivacyframework.gov/ .
Quoi faire alors dans la pratique ?
De façon générale, avant d’effectuer un transfert de données personnelles à l’étranger, il est nécessaire de s’assurer au préalable que les autres principes/obligations de la Loi fédérale sur la protection des données (LPD) soient respectés, à savoir la licéité, la proportionnalité, la finalité, la privacy by design et by default ainsi que la sécurité.
Ensuite il faut se rendre sur le site https://www.dataprivacyframework.gov/ et vérifier si l’entreprise à qui l’on souhaite transférer des données personnelles a adhéré au DPF (une simple recherche permet de le faire) et vérifier si le type de données à transférer est couvert par le DPF (données RH et données non-RH).
Le contrat entre l’EPFL et l’entreprise américaine en question peut donc être simplifié car il n’est plus nécessaire de faire signer de clauses spécifiques, notamment les Clauses contractuelles type (ou SCCs) approuvées par le Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est recommandé toutefois de prévoir dans le contrat (1) un engagement contractuel de l’entreprise américaine de signer des SCCs en cas d’invalidation du DPF (2) l’entreprise américaine doit maintenir la certification DPF ou au moins informer l’EPFL si ce n’est plus le cas (et dans ce cas, il faut renégocier le transfert).
Et si l’entreprise américaine n’est pas certifiée selon le DPF ?
Dans ce cas, un transfert de données personnelles entre la Suisse et les Etats-Unis ne peut intervenir que sur la base de garanties contractuelles adéquates, comme par exemple les SCCs approuvées par le PFPDT ou, dans des cas limités, sur la base des autres conditions prévues à l’art. 17 LPD.
Est-ce que le DPF permet de s’affranchir des conditions restrictives du « secret de fonction » (art. 320 CP) ?
Hélas, non ! Le DPF ne change en rien à l’obligation de respecter le secret de fonction pour le personnel de l’EPFL. Dans le cas de traitement de données soumises au secret de fonction, le sous-traitant a l’obligation de garder le secret en tant qu’auxiliaire au sens de l’art. 320 CP et cette clause doit figurer dans les documents contractuels (elle est présente déjà dans notre document « Délégation du traitement de données personnelles »).
Est-ce qu’il est nécessaire de renégocier les contrats avec les entreprises américaines qui sont déjà nos partenaires ?
De façon pragmatique, il n’est pas nécessaire de renégocier les contrats actuels, d’autant plus si ces derniers englobent déjà des Clauses contractuelles type (SCCs).
Et si je n’ai pas compris ce qui précède mais j’ai besoin de signer un contrat avec une entreprise américaine, qui peut m’aider ?
Contacter le Domaine des Achats ou alors [email protected] pour les questions en lien avec un projet de recherche. Ces services de l’EPFL sont en contact avec la DPO pour les questions relatives à la protection des données. Par ailleurs, veuillez noter que si des projets de recherche sont soumis à des conditions ou autorisations particulières des bailleurs de fonds ou des commissions éthiques cantonales (ex. LRH), une analyse préalable au cas par cas devra être effectuée.